Вопросы о конфиденциальности и безопасности
Важный
По состоянию на 3 февраля 2025 года защита от мошенничества Dynamics 365 больше не доступна для покупки. Поддержка защиты от мошенничества завершится 3 февраля 2026 г. Для получения дополнительной информации обратитесь к статье об окончании поддержки Dynamics 365 Fraud Protection.
В этой статье приведены ответы на часто задаваемые вопросы о конфиденциальности и безопасности в Microsoft Dynamics 365 Fraud Protection.
За последние 12 месяцев защита от мошенничества столкнулась с нарушением безопасности? Что такое процесс уведомления о нарушении и временная шкала?
Защита от мошенничества следует стандартному процессу уведомления о нарушении безопасности данных Майкрософт в соответствии с требованиями общего регламента по защите данных (GDPR), независимо от того, применяются ли данные клиента к GDPR. Дополнительные сведения, включая описание процесса и ссылки для получения дополнительных сведений, см. в разделе Центр безопасности Майкрософт. Пока вы там, вы также можете настроить для вашей организации контактное лицо по вопросам конфиденциальности для уведомлений.
Дополнительные сведения можно также найти в уведомлении о нарушении безопасности для Azure, Dynamics 365 и Windows в рамках GDPR под метками и.
Поддерживает ли защита от мошенничества шифрование неактивных данных? Как развертывается шифрование? Шифруются ли данные при передаче? Каковы протоколы?
Служба защиты от мошенничества шифрует все данные клиентов как в состоянии покоя, так и при передаче, используя последние возможности Azure. Эти возможности регулярно проверяются группами безопасности Майкрософт.
Для передачи данных защита от мошенничества использует шифрование, основанное на протоколе TLS.
Технологии Майкрософт, такие как Azure Cosmos DB, хранилище BLOB-объектов Azure и Azure Data Lake, используются для хранения неактивных данных. Защита от мошенничества реализует строгие границы доверия, чтобы гарантировать отсутствие несанкционированного доступа к данным продавца в своей среде.
Дополнительную информацию о подходе Майкрософт к шифрованию данных в неактивном состоянии и в процессе передачи см. в обзоре шифрования Azure и шифрованию данных Azure на месте хранения.
Заметка
Обратите внимание, что Защита от мошенничества Dynamics 365 не поддерживает функции управляемых клиентом ключей (Customer Managed Keys, CMK) или функции Lockbox.
Процесс защиты от мошенничества осуществляет доступ, передачу или хранит конфиденциальные персональные данные своего торговца?
Защита от мошенничества работает с данными, предоставляемыми торговыми клиентами через API, отправку файлов или другие документированные механизмы. Данные, предоставляемые торговцами, могут содержать не общедоступные персональные данные, которые обрабатываются, передаются и хранятся в рамках соблюдения нормативных требований для предоставления сервиса. Торговцы могут использовать защиту от мошенничества для передачи данных в другую систему или создания дополнительных копий для удовлетворения своих бизнес-потребностей.
Кто имеет доступ к данным и отчетам продавца в системе защиты от мошенничества? Как защита от мошенничества ограничивает количество людей, имеющих доступ?
Продавец и сотрудники Корпорации Майкрософт, которым назначена защита от мошенничества, имеют доступ к данным продавца. Для отчетов в продукте у продавцов есть доступ только к данным продавца. Для отчетов об устаревших продуктах команда по обработке и анализу данных в Службе защиты от мошенничества предоставляет продавцам доступ к просмотру отчетов. Не все сотрудники Майкрософт получат доступ к отчетам продавца.
Защита от мошенничества реализует сетевые и ролевые средства управления доступом для ограничения и управления внешним доступом к данным внутри системы Защиты от мошенничества. Арендаторам предоставлена функциональность для управления внешним доступом к их данным.
Защита от мошенничества следует внутренним политикам и рекомендациям Майкрософт по управлению внутренним доступом к рабочим службам и данным клиентов. По умолчанию доступ к данным и отчетам продавцов запрещен персоналу Майкрософт в соответствии с принципом наименьших привилегий. Он предоставляется только членам соответствующих групп безопасности. Членство в группе безопасности предоставляется на уровне учетной записи пользователя, и каждая учетная запись пользователя уникальна и идентифицируется с определенным сотрудником Майкрософт.
Внутренняя политика Microsoft позволяет сотрудникам, имеющим соответствующее членство в группах безопасности, запрашивать временный (джаст-ин-тайм) повышенный доступ, чтобы они могли выполнять действия по обслуживанию и поддержке в производственных системах. Каждый запрос доступа just-in-time отслеживается и проверяется внутренней системой управления билетами.
Предоставляет ли защита от мошенничества опубликованную процедуру выхода из соглашения об обслуживании, включая гарантию того, что все вычислительные ресурсы будут очищены от данных клиента после выхода клиента из среды или высвобожденного ресурса?
Да. Условия коммерческого лицензирования Microsoft применяются к защите от мошенничества и определяют процедуры отмены службы. Дополнение о защите данных описывает сведения о сохранении и удалении данных. Псевдонимизованные данные, которые продавец уже предоставил сети защиты от мошенничества, будут продолжать обрабатываться внутри сети защиты от мошенничества до конца его скользящего окна хранения. Затем он будет удален.
Работает ли защита от мошенничества с любой организацией профессиональных служб безопасности в Корпорации Майкрософт для поддержки безопасности и технологий (например, развертывание, реагирование на инциденты и отчеты)?
Да. Защита от мошенничества входит в семейство продуктов Dynamics 365 и соответствует политикам и рекомендациям, определенным для организации Dynamics 365 и Cloud & ИИ. Защита от мошенничества сотрудничает с Azure Security, Microsoft Threat Intelligence Center, Командой реагирования на инциденты Azure, Глобальной безопасностью Майкрософт и другими группами по обеспечению безопасности и соответствия требованиям.
Для получения дополнительной информации о безопасности в системе Dynamics 365 Fraud Protection см. обзор безопасности.
Как защита от мошенничества гарантирует, что ошибки и риски качества данных, унаследованные от партнеров в облачной цепочке поставок, проверяются, учитываются и исправляются?
Защита от мошенничества имеет выделенную команду по обработке и анализу данных. Она также имеет систему мониторинга и оповещения, предназначенную для обнаружения и реагирования на ошибки качества данных, а также для поддержания качества моделей машинного обучения (ML). Проблемы с качеством данных рассматриваются как рабочие инциденты и рассматриваются с помощью того же процесса, который используется для обеспечения надежности службы.
Регулярно ли система защиты от мошенничества проводит тесты на проникновение в инфраструктуру облачной службы в соответствии с лучшими отраслевыми практиками и рекомендациями? Доступны ли результаты тестов на проникновение сети клиентам по их запросу?
Защита от мошенничества использует стандартные отраслевые средства для сканирования кода, а обнаружение ошибок и серьезность основаны на стандартах NIST 800-30.
Независимая сторонняя сторона выполняет тест на проникновение (тест пера) в среде Azure по крайней мере ежегодно. Область тестирования пера определяется областями риска и соответствия требованиям Azure. Результаты теста пера исправляются на основе критическости. Дополнительные сведения см. на портале доверия служб .
Регулярно ли защита от мошенничества проводит проверки уязвимостей на уровне сети, как указано в отраслевых рекомендациях?
Да, защита от мошенничества следует отраслевым рекомендациям. Как описано в отчетах об аудите Azure-Dynamics SOC2, команда Cloud + AI Security выполняет частые внутренние и внешние проверки для выявления уязвимостей и оценки эффективности процесса управления исправлениями. Службы проверяются на наличие известных уязвимостей. Новые услуги добавляются к следующему ежеквартальному сканированию в зависимости от даты их включения. Затем они следуют по крайней мере квартальному расписанию сканирования. Эти проверки используются для обеспечения соответствия базовым шаблонам конфигурации, проверки установки соответствующих исправлений и выявления уязвимостей. Отчеты проверки проверяются соответствующим персоналом, а усилия по исправлению выполняются своевременно.
Дополнительные ресурсы
Вопросы и ответы по юридическим вопросам
место размещения данных и вопросы и ответы по GDPR